基于LLM的SDLC需求信息安全资料.pdfVIP

基于LLM的SDLC需求

自动化评审分享

Content目录

01行业背景与问题

02解决方案与思路

03优化策略与技术亮点

04成果与价值

05挑战

06后续规划与思考

01行业背景与问题

企业自动化及安全形式

企业自动化能力

需求场景复杂度增加

覆盖度日益提升

安全编码意识提升传统安全评审工具

准确率与召回率低

传统的AST自动化工具

安全治理进入深水区

难以识别漏洞

安全前置

行业现状

安全前置的重要性

02解决方案与思路

解决方案概述

解决方案与思路

·SDLC平台与项目管理平台对接

·借助大模型（LLM）能力构建智能自动化评审统

·RAG方案动态评审策略

平台核心架构介绍

·平台与内部SDLC及研发流程管控系统的对接

·LLM智能体agent

·评审协调agent

实践流程描述

·数据采集

·应用文档权限管理

·文档预处理

·自动评审

·结果反馈

03优化提升

PromptEngineering

In-ContextLearningFew-shot

Learning

·In-ContextLearning

通过提供上下文信息，辅助模型作为依据完成推理

·Few-shotLearning

通过提供少量示例，帮助模型快速掌握任务要求

Chain-of-Thought（CoT）提示方法

·通过设计详细、分布式提示词，引导模型进行分布思考，增强逻辑

动态反馈与提示优化

流程与数据预处理优化

RAG检索增强生成

·针对性定制安全评审原则

·增加风险权重定义

动态评审策略

·依据需求渠道选择模型配置

·根据策略完成后续流程、工单流转

多次评审与多模型融合结果校准

·多次、多模型评审，提升置信度

04成果与价值

实践成果展示

·显著提升了自动化评审线上极端风险绝对值0

人效提升50%

81%92%

PrecisionRecall